考虑以下场景:
我的父母* 有一个 Fritzbox 路由器,大概有 10 年了,可以连接 USB 驱动器并将其设置为 NAS,到目前为止,我已经为他们完成了这项操作,但仅具有内部(内联网)访问权限,可以将文件放在他们的设备之间共享,在电视上看电影等。
有时,需要将较大的文件从我居住的地方传输到他们那里,过去我曾使用上传网站来实现这一点,但广告、登录等很烦人。
我记得 Fritzbox 提供设置一个帐户的功能,您可以通过该帐户通过外部网络访问 USB 驱动器上的文件夹。这似乎更方便、更快捷。
但我不是网络专家,无法自信地判断这在安全方面是否明智。
这样做是否会带来现实的安全隐患?或者,只有当某些事情(不)做时,它才能做得合理精简?例如,Fritzbox 提供通过用户名 + 密码访问:如果两个字段都使用尽可能多的字符,并且都是随机生成的,这是一个好主意吗?
* 他们对电脑不太熟悉 —— 当电脑出现问题时他们永远无法修复。
答案1
这样做是否会带来现实的安全隐患?或者,只有当某些事情(不)做时,它才能做得合理精简?例如,Fritzbox 提供通过用户名 + 密码访问:如果两个字段都使用尽可能多的字符,并且都是随机生成的,这是一个好主意吗?
增加密码长度仅在一定范围内有用。通常攻击者是远程的——他们无法获得密码哈希来投向 GPU(即使假设他们对你的 NAS 有特别的兴趣,值得花费 GPU 时间),他们只能通过网络进行单独的尝试。即使假设他们每秒可以进行 10k 次猜测(你会注意),仅 10 个字符的随机字母数字密码就需要大约 5000 年的时间才能猜出。如果您愿意,可以将其设置为 20 个字符,但不要觉得有必要做得过分。
(假设软件不会只删掉密码的前 8 个字符,而会使得 100 个字符长的密码的其余部分实际上变得毫无用处。这种情况已经在现实中出现过。)
但设备(以及一般的暴露服务)的实际问题是预认证漏洞,即那些根本不需要猜测密码的漏洞,例如访问不需要身份验证的端点,或发现“开发人员后门”密码。 已经发生了针对 Synology 设备、WD 设备、QNAP 设备的此类攻击。(这也是 Windows 被认为“危险”的原因——并不是因为密码太弱,而主要是因为其存在大量预先身份验证漏洞。)
另一方面,如果所有远程访问都通过制造商的“云”服务(即如果你不是如果你的计算机实际上允许直接访问你的路由器/NAS,那么问题就小了,主要只需要猜测密码即可。
不过,您的路由器似乎已经足够旧,无法再接收固件更新,因此请务必在 CVE 数据库等中搜索它,以检查它是否存在任何已知的、永远未修补的漏洞。
答案2
只要您选择一个合理复杂的密码(如您所述),就没问题。为了最大限度地降低安全风险,请确保定期进行更新,并且不要允许 Fritzbox 的任何不必要的服务通过互联网访问。这必须包括其他预防措施,如备份等(也应保持离线状态,以防出现安全漏洞)。确保您的型号仍受制造商支持,并且仍提供更新。
尽管 Fritzbox 过去曾出现过问题,但上述预防措施应该可以使其相对安全使用。但请记住,Fritzbox 是一款面向最终消费者的一体化产品,因此其安全功能(如防火墙等)存在限制。